Cybersecurity worm WannaCry

[Lomanu4]

Introduzione
WannaCry è un worm di tipo ransomware che nel 2017 ha infettato più di 200.000 dispositivi windows di tutto il mondo sfruttando una vulnerabilità . Sfrutta una vulnerabilità di SMB (protocollo che usa windows per file e stampanti) tramite un exploit di eternalblue.

Fasi dell'attacco

1. 
   Attacco iniziale (Dropper o Phishing)
   Il punto d'ingresso può essere una mail di phishing con allegato infetto o un file scaricato da un sito compromesso.
   Quando l’utente apre il file, si esegue il dropper, cioè la prima parte del malware.
   
   
2. 
   Download e esecuzione del ransomware
   Il dropper scarica e attiva WannaCry, che si installa nel sistema.
   Viene avviato il processo che cerca altri computer vulnerabili nella rete.
   
   
3. 
   Exploit EternalBlue (MS17-010)
   WannaCry sfrutta la vulnerabilità EternalBlue (protocollo SMBv1 di Windows) per entrare nei sistemi non aggiornati.
   Non serve alcun intervento umano: si diffonde automaticamente.
   
   
4. 
   Propagazione automatica nella rete locale
   Il malware scansiona la LAN e infetta altri dispositivi vulnerabili, replicandosi come un worm.
   L’attacco si estende in pochi minuti a intere reti aziendali.
   
   
5. 
   Cifratura dei file
   Una volta stabilita la connessione, WannaCry critta i file con AES e li rinomina.
   I file diventano illeggibili e viene lasciata una nota di riscatto sul desktop.
   
   
6. 
   Richiesta di riscatto
   Viene mostrato un messaggio che chiede un pagamento in Bitcoin (es. 300$) per ricevere la chiave di decrittazione.
   C’è anche un conto alla rovescia che aumenta la cifra dopo un certo tempo.
   

Come difendersi:
Mai cliccare su allegati sospetti
Aggiornare sempre il sistema operativo
Usare un antivirus aggiornato
Fare backup frequenti

Пожалуйста Авторизируйтесь или Зарегистрируйтесь для просмотра скрытого текста.